CVE-2024-23511CVE-2024-23511是WordPress插件The Plus Addons for Elementor Page Builder Lite中的一个DOM型跨站脚本(XSS)漏洞。该漏洞由于在网页生成过程中对用户输入的不当中和导致,攻击者可以通过在页面中注入恶意JavaScript脚本来实现DOM型XSS攻击。CVSS评分为6.5,属于中等严重程度。该漏洞影响插件5.3.3及以下版本,攻击者需要具有低权限用户身份,并且需要用户进行交互才能触发漏洞。攻击成功可能导致窃取用户会话Cookie、劫持用户操作、植入恶意内容或进行钓鱼攻击等危害。此漏洞由Patchstack团队发现并披露,插件开发方应及时更新到修复版本以消除安全风险。
DOM型XSS漏洞是一种特殊类型的跨站脚本漏洞,其特点是不需要服务器端参与,恶意脚本的注入和执行完全在客户端浏览器的DOM环境中完成。在The Plus Addons for Elementor插件中,漏洞存在于处理用户输入数据的JavaScript代码中。当插件的某些功能模块读取URL参数或用户输入后,直接将数据插入到DOM中而未进行适当的输出编码时,攻击者可以通过构造特殊的payload来注入恶意脚本。攻击向量为网络路径(AV:N),攻击复杂度低(AC:L),需要低权限(PR:L)并需要用户交互(UI:R)。攻击成功后可影响机密性(C:L)、完整性(I:L)和可用性(A:L),均为低影响级别。攻击者通常利用社会工程学诱导用户访问恶意链接或提交包含XSS payload的表单数据。